Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

トラフィックセレクターと CoS ベースの IPsec Vpn について

 

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、VPN トンネルを通過するトラフィックを許可する IKE ピア間の合意です。トラフィックセレクターに準拠しているトラフィックだけが、関連付けられたセキュリティーアソシエーション (SA) によって許可されます。

CoS ベースの IPsec VPN 機能は、以下のシナリオをサポートしています。

  • ルートベースのサイト対サイト VPN で、同じ FCs を使用した1つまたは複数のトラフィックセレクター。

  • 複数のトラフィックセレクター、各トラフィックセレクターで異なる FCs が使用されます。このシナリオでは、個別の VPN 構成が必要になります。

このトピックでは、VPN 構成と各シナリオでネゴシエートされる IPsec SA について説明します。

以下のシナリオでは、SRX シリーズデバイスで3つの FCs が構成されています。

最初のシナリオでは、VPN vpn1 は、単一のトラフィックセレクター ts1 と3個の FCs を使用して構成されています。

上記の構成では、デフォルトの IPsec SA と、FCs に—マップされている ipsec sa 用の3つのトラフィックセレクターに対して、4つの IPsec sa がネゴシエートされます。

2つ目のシナリオでは、VPN vpn1 は、2つのトラフィックセレクター ts1 と ts2、さらに3つの FCs を使用して構成されています。

上記の設定では、トラフィックセレクター ts1 に対して4つの IPsec Sa がネゴシエートされ、トラフィックセレクターの ts2 に対して IPsec Sa がネゴシエートされます。各トラフィックセレクターに対して、デフォルトの IPsec SA と、FCs にマップされている IPsec Sa 用にネゴシエートされた3つの ipsec sa に対して、1つの IPsec をネゴシエートします。

3つ目のシナリオでは、ts1 と ts2 がさまざまな FCs セットをサポートしています。トラフィックセレクターは、さまざまな Vpn に対して設定する必要があります。

上記の設定では、VPN vpn1—1 のトラフィックセレクター ts1 に対して、4つの ipsec sa がネゴシエートされ、デフォルトの ipsec sa と3個の ipsec sa に対して、FCs にマップされています。